discuz论坛被挂马怎么办，discuz论坛360百度等搜索快照被劫持的解决办法

一、网站快照劫持的表现

在百度、360等搜索引擎中输入site:www.xxx.com，出来的结果中存在黄赌毒等非法信息。

该网站快照劫持的表现主要是360、搜狗中的快照被劫持，百度的则没有被劫持。

从这些信息可以得出，该例劫持是在程序上做了判断，专门劫持360搜索的。

为什么会劫持360而不是百度快照呢？

我想原因应该是：作为站长，在百度中使用site命令查看网站收录情况的比较多，一旦网站被挂马，会很快被发现的。

但是，在360搜索中使用site命令的站长却不多，这样挂马不容易被发现，可以留存的更久一点。

二、使用discuz后台工具-文件校验排查异常文件

各位使用discuz建站的站长，一定要学会使用这个工具。它能够指导你迅速缩小文件排查范围。

经过该工具排查，我们发现网站根目录下的index.php和portal.php文件最近有被改动过的迹象。

使用源文件覆盖以上2个文件后，快照劫持任然存在。

三、根据以往排查挂马经验排查到可疑目录

我排查了在以往文章中提到的可疑目录：data/avatar/0(查看文章：http://blog.fuwenhao.com/post/55.html）。

我看到了可疑文件“0”。

这个文件是被隐藏了后缀名，所以一般不容易发现。

将文件下载到本地后，使用notepad++打开，终于发现庐山真面目了。

以上红框中的内容是经过加密处理的，为了更好的明白挂马的地方，已经被我解密了。

在最下面的红框中，我们看到有个“document_root”，经解密后，得到一个目录地址：***/b6/

找到相关目录后，我们发现，该b6目录下发现了异常。

异常1：多出了news、work两个子文件夹

打开文件看到里面是txt/jpg等文件，查看txt内容和网站快照被劫持的内容相似，基本可以确定这2个目录是挂马文件。

红框中为挂马文件，蓝框中为正常文件

异常2：在b6目录中有11张按顺序排列的图片，但下载到本地后，都没有显示缩略图，且使用图片软件打开后，显示已损坏。

那么使用notepad打开试下呢：

看到红框中的内容了吗？

这段代码的意思是，判断搜索引擎类型，然后针对性的做跳转劫持处理。

四、删除全部可疑文件，并用源文件覆盖被修改文件

最重要的一步来了，删除了以上发现的所有可疑目录和文件，再使用源文件对网站做了一次覆盖，确保无遗漏。

进360搜索使用site命令，点击被劫持的链接，看下是否正常了。

五、投诉删除被劫持的快照

虽然我已经帮忙排除了挂马文件，但被劫持的快照在一段时间内还是会存在在搜索引擎当中的。

接下来需要站长做的就是，去搜索引擎中投诉并删除快照，以便快照恢复正常。

投诉删除快照

到此为止，网站快照被劫持的问题已经解决了。

快照劫持都有哪些危害

快照被劫持，第一是会对网站用户造成误导，导致用户不信任本网站，进而导致网站用户流失。

第二则会使得搜索引擎对网站降权，使网站排名。流量等受到影响。

所以，为了你的网站安全，请一定要做好以下几点：

1、服务器密码一定要复杂一点，并且最好做到定期更换；

2、服务器程序漏洞及时修补；

3、下载插件、模板等尽量从正规网站下载，不使用盗版；

4、养成定期对网站做备份的好习惯。